حذر تقرير SquareX Labs، مستخدمي Google Chrome من اختراق حساباتهم عبر المصادقة الثنائية، بواسطة المتسللين الذين يستخدمون ملحقات متصفح Chrome المخترقة لتجاوز حماية المصادقة الثنائية.
تحديث متصفح Google Chrome
تعمل شركة “جوجل” على ضمان أمان متصفح Chrome للمستخدمين، وذلك من خلال ثلاثة تحديثات أمنية في غضون ثلاثة أسابيع فقط.
وعلى الرغم من القرار المفاجئ بفتح متجر ويب جديد للمؤسسات للمساعدة في الحماية من التهديد الأمني الناتج عن الإضافات الضارة. فقد كشفت بحوث جديدة أن أي إضافة لمتصفح Chrome يمكن استخدامها لاختراق جهازك. حيث تم استبدال ملحقات Chrome الخاصة بـ 35 شركة على الأقل بإصدارات ضارة فيما يبدو أنه حملة اختراق منظمة.
في ذلك الوقت، قال فريق أمان Google Chrome، إن المستخدمين محميون بطرق مختلفة. بما في ذلك الملخص الشخصي لجميع الملحقات المثبتة، وسياسات المراجعة الصارمة قبل نشر الملحقات، والمراقبة المستمرة لها بعد ذلك.
وقالت Google، إنه إذا وجد الفريق أن الملحق يشكل خطرًا شديدًا على مستخدمي Chrome. فسيزال على الفور من متجر Chrome الإلكتروني، وسيعطل الملحق على جميع المتصفحات التي تم تثبيته عليها.
علاوة على ذلك أعلنت “جوجل” عبر مدونتها، أنها أزالت أكثر من 2.36 مليون تطبيق “أندرويد” ينتهك سياسات “جوجل بلاي” عام 2024.
كما أزالت نحو 158 ألف حساب لمطورين حاولوا نشر مثل هذه التطبيقات الضارة، مستعينة بالذكاء الاصطناعي. مؤكدة أكثر من 91% من عمليات تثبيت التطبيقات على متجر جوجل بلاي تستخدم أحدث الحماية لنظام أندرويد 13، وما بعده.
المصادقة الثنائية
فيما أكد باحثو SquareX Labs أن اختراق المتصفح والجهاز يمكن باستخدام ملحقات المتصفح. وليس فقط الملحقات الضارة أيضًا. تتطلب عملية الاختراق قدرات القراءة والكتابة الأساسية الموجودة في معظم الملحقات. ما يعرض مستخدم الملحق لخطر هجوم اختراق مزامنة المتصفح.
ووفق تقرير “فوريس”، الذي اطلعت عليه “عالم التكنولوجيا”، تحدث هجمات مزامنة متصفح Chrome عبر ثلاث مراحل، هي:
- الملف الشخصي.
- المتصفح.
- الجهاز.
اختراق Google Chrome
إن التحضير للهجوم يتطلب من المخترق أولًا تسجيل المجال لحساب Google Workspace ثم تعطيل حماية 2FA.
ثم يتم إنشاء ملحق متصفح ويب وظيفي ونشره على متجر Chrome والذي سيتم استخدامه لاحقًا لاسترداد بيانات اعتماد الملف الشخصي.
وبعدها دفع الملحق إلى الضحية باستخدام أي من تقنيات التصيد الاحتيالي العديدة الموجودة.
يقول الباحثون، إنه نظرًا لاحتوائه فقط على قدرات القراءة والكتابة الأساسية المتاحة لمعظم الامتدادات الشائعة. يثبت الضحية الملحق، على افتراض أنه آمن. وبمرور الوقت، يتلاشى وجود الملحق في الخلفية مع عودة الضحية إلى روتينه اليومي.
في مرحلة ما خلال المستقبل القريب، يتصل الامتداد بالنطاق المسجل سابقًا، ويحصل على بيانات الاعتماد ويكمل الخطوات لتسجيل دخول الضحية إلى أحد الحسابات التي تم إنشاؤها مسبقًا.
والنتيجة هنا أن المستخدم متصل الآن بملف شخصي يديره المهاجم. ما يتيح له تعطيل تدابير الأمان لجعل المتصفح أكثر عرضة للهجوم.
ويضيف الباحثون أن المهاجم يفتح صفحة الدعم المشروعة لمتصفح كروم على المزامنة. ويستخدم الامتداد الخبيث لتعديل المحتوى على الصفحة. وبالتالي إقناع الضحية بإكمال المزامنة.
وفجأة يتم تحميل جميع البيانات المخزنة محليًا، والتي تتضمن كلمات مرور كروم وسجل التصفح، إلى الحساب الذي يتحكم فيه المتسلل.
لكن الأمر يزداد سوءًا، وفقًا لما قاله الباحثون، بأن تتضمن الخطوة التالية تحويل المتصفح بالكامل إلى متصفح مُدار يتحكم فيه المهاجم. هذا قبل الاستيلاء أخيرًا على الجهاز بالكامل.
وأكد تقرير SquareX Labs من أن هجوم مزامنة المتصفح خطير بشكل خاص. لأنه على عكس هجمات الامتدادات التي تم الإبلاغ عنها سابقًا التي تتطلب هندسة اجتماعية معقدة.
وأوضح أن هذا الهجوم يحتاج فقط إلى أذونات ضئيلة وخطوة هندسة اجتماعية صغيرة. مع عدم الحاجة إلى تفاعل المستخدم تقريبًا لتنفيذ هذا الهجوم.
وللتخفيف من حدة الهجمات، توصي SquareX باستخدام حل أصلي للمتصفح يفهم سلوك وقت التشغيل لكل ملحق. حيث تعمل ملحقات Chrome هذه بالكامل في المتصفح، وبالتالي لا يمكن التعرف عليها من خلال الأذونات أو المواقع المعنية.